市販のウイルス対策ソフトではblasterのようなタイプをどのようにブロックするんですか？

タイトルのとおりです。定義ファイルにしろヒューリスティック機能にしろスキャンしなければ見つけられませんよね。blasterのようなタイプではパソコン内に入ったときにはもう実行されてるので、手動スキャンや定期スキャンは意味無いと思うのですがどうなんでしょうか。（ファイアーウォールは無効の場合。）
現在ノートンとバスターとマカフィーとNOD32のどれを導入するか検討しているんですが、それぞれどうなっているんでしょうか。

No.7 ベストアンサー 回答者： hoihence 回答日時： 2005/08/22 16:13

#3です。

しょうがないんで、ばっちり解説してあげますよ。

まず、パッチを適用してないマシンがあるとします。しかし、アンチウイルスのシグネチャは対応済みとします。常駐監視有効とします。

この場合、すでに感染してしまったマシンからのRPC攻撃パケットを受信してしまうと、バックドアが開かれます。そして、感染マシンからmsblast.exeを送り込もうとするときに、アンチウイルスが検出します。

つまり、感染は水際でかろうじて防げてはいるものの、バックドアは稼動したままなので、いつまでたっても感染の脅威が払拭できないままとなるのです。

わかっていると思いますが、セキュリティーソフトはあくまでリスクを低減してくれるものなのです。完全防御を保障するものではないんです。


サポート料1ユーロ　ブタの貯金箱を用意したので入れてください。　プギャ。←ウソです。

この回答へのお礼

ばっちりです、よくわかりました。
>>あくまでリスクを低減してくれるもの
3%減れば充分と思っています。無意味では無いことがわかったので疑問は解決しました。
サポート料は教えてgooのポイントで支払います。

お礼日時：2005/08/22 16:26

No.6 回答者： noname#40123 回答日時： 2005/08/22 11:08

そのようにどのセキュリティソフトを入れると良いのかわからないのであれば、それぞれ試してみてはどうですか？

それぞれで、期間限定版、体験版というように名称は変わりますが。

それから、ウィルス対策ソフトの考えとしては、次のようなものです。

「自動車任意保険」

これと同じです。
要するに、気を付けるのには、利用者の防御態勢が必要であって、それをあくまでも補完する役割を持っていると言うことです。

いわば、整備不良の車にはいくら保険をかけても、保険金の支払いをしないのと同じで、
ウィルス対策ソフトを使っているから、手抜きをしてパソコンのメンテナンスをしなくても良いというのではなく、
あくまでも、ウィルスからの防御については出来る範囲で防御するが
基本は、利用者が対策を施して、その漏れている部分をフォローするという考えです。

それが理解できないのと言うのであれば、どのメーカーのソフトを使っても無意味でしょう。
インターネットを利用しないで、ローカルで使った方がよいです。

この回答への補足

手抜きをするつもりはありません。
しかしwindows updateの自動更新の通知が右下に小さく出ていても気付かないかもしれません。作業中なので再起動は後でするということもよくあります。電源を入れたまま出かけることもあります。MS05-039を狙ったワームはマイクロソフトがパッチを出してから一週間後に登場したようですが、次は半日で出てくるかもしれません。そんな時バックグラウンドで自動的に定義ファイルを更新できて再起動も必要ないセキュリティソフトが気付かないうちに攻撃を防いでくれるかもしれないと思っていますが、それも手抜きですか？
>>ウィルスからの防御については出来る範囲で防御するが
そのできる範囲にblasterが含まれているのかどうかを聞いています。

補足日時：2005/08/22 11:47

No.5 回答者： hoihence 回答日時： 2005/08/21 16:48

#3です。

いいですか、俺の回答が不明確なのではなくて、あなたが思いっきり勘違いをしてるのです。はっきり言いましょうか。アンチウイルスはMSBLASTERには対応できるんです。ただ、OSのセキュリティーホールのことなんて感知してません。

Windowsのアーキテクチャやアンチウイルスの動作の仕組みを知れば明確に理解できます。さしあたり、RPCSS.DLLがどういうことをするのかを調べてみたら。

以上で最終とさせていただきます。

この回答への補足

>>アンチウイルスはMSBLASTERには対応できるんです。
どういった対応なのですか？それを教えてください。
私は思いっきり勘違いしていましたが、不明確だから勘違いしたのです。

補足日時：2005/08/22 11:44

No.4 回答者： hoihence 回答日時： 2005/08/21 16:15

#3です。

あなたはまるでわかってません。もう一度だけ解説してあげます。

アンチウイルスが対応してても土台のOSに「穴」があるとすり抜けが起こりますよと言ってるんです。それを封じるために「修正パッチを当てなさい」ということなんです。ポートの遮断は被害を拡大させないための一時的な手段です。大元の漏れを封じることによって、RPC攻撃が通じなくなるわけですから。　

この回答への補足

OSのセキュリティホールを修正するパッチはマイクロソフトから提供されます。当然それも利用しますが、セキュリティベンダーは何をしてくれるのかを聞いています。今までの回答を見ると何もしてくれなさそうですが、不明確なのでそうならそうとはっきり言って下さい。

補足日時：2005/08/21 16:22

No.3 回答者： hoihence 回答日時： 2005/08/21 12:26

こんにちは。

あのですね、MSBlasterってのはDCOMクライアントがバッファにnetbios名を書き込むときにデータサイズチェックをしてなかったことに起因してるんです。

従って、「穴埋め」をしてないとすり抜けが起こると思います。
アンチウイルスはシステムの内部コンポーネントによる処理のことまでそもそも面倒見ることが出来ませんので。

つまり、入出力されるデータにmsblast.exeのコードが含まれるかどうかを見ることは出来ますが、msblast.exeが行うRPC攻撃自体はアンチウイルスの基本的な機能だけでは防げないです。(←RPCを切っちゃえば別ですが、それだと不都合がザクザク。WindowsってRPCにメチャクチャ依存してるので)

だから、ベンダが対応策として、修正パッチの導入やport4444、69を遮断するように言ってるわけです。

この回答への補足

HDD内のデータをスキャンしても侵入は防げないことぐらいわかります。じゃあどうやって対応しているのだろうかと疑問に思って質問しました。あれだけ話題になったので当然対応しているものと思い込んでいましたが、あんなに話題になったのに未対応と言うことでいいんですね。

補足日時：2005/08/21 14:03

No.2 回答者： noname#40123 回答日時： 2005/08/20 22:01

このようなウィルスに関しては、セキュリティホールを突いてきています。

ウィルス対策ソフトを用いても、検知するのが一般的なウィルス防護活動で、
ウィルス対策ソフトは、常駐して常時監視はしています。
ですから、この場所にウィルスは存在しているという警告は出してくれます。

その前に、修正プログラムをインストールすることで防御できるウィルスもあるのですから、
すべてをウィルス対策ソフトを使用することでまかなおうと考えているのは、その使用方法が違っていると言うことです。

Blasterワームにしても、Sasserワームにしても、今回流行しているZOTOBワームにしても、
すべて、Microsoft社から出ている修正プログラムをインストールすれば感染することはありません。

根本的なことを間違って考えているようで、ウィルス対策ソフトを入れているから、ウィルスをすべて駆除してくれるというのは間違いです。
ウィルス対策ソフトを使うというのは、ウィルスに感染することを防御するのと同時に、
ウィルスに感染した場合、いち早く検知して次の採るべき作業をしやすくすると考えた方がよいでしょう。

この回答への補足

ゼロデイアタックでwindows updateよりウイルス対策ソフトのほうが対応が早かったときや、updateが提供されたことに気付かなかったときのことを想定しているので、むしろセキュリティ意識は高いほうだと考えています。
柔軟な回答が期待できるのがこのサイトのいい所ですが、今回は事情を汲み取ろうとしていただくよりも効果がないならないとはっきり言って欲しいです。

補足日時：2005/08/21 07:52

No.1 回答者： wirelessml 回答日時： 2005/08/20 15:29

　この情報があなたへの答えになるかどうか、自信はありませんが・・・

　ウイルス対策ソフトはパソコンにウイルスが進入するのを防ぐ（それはファイアウォールの仕事）のではなく、進入してしまった（感染してしまった）ファイルを発見するのがその仕事だと思います。
　自動で駆除・隔離できず、手動でファイルを削除する必要があるのはそれゆえだと思います。

参考URL：http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

この回答への補足

すいません、明記しませんでしたがノートンもマカフィーもウイルスチェックだけではなくて総合対策ができる高いほうを考えています。
当然、導入すればファイアーウォールも使うつもりですが、WinXPにもブロードバンドルーターにもついている機能ですから、おまけ程度の機能だと思っています。ファイアーウォールだけでの対応では「運悪く必要があってウイルスが狙うポートを開けていた場合は知りませんよ」になってしまいます。blasterはあれだけ話題になったウイルスですから、お金を取る以上おまけではない機能できちんと対応しているのだと思っていました。
それで、運悪くポートが開いていたときのこと、通常開いているポートが狙われたときのことを想定して質問しています。

補足日時：2005/08/20 17:08